Nuevos problemas de seguridad en Android, en esta ocasión centrados en Alcatel. Tras la presentación en el CES de sus últimos dispositivos, salta a la palestra un polémico cambio en su aplicación de Galería. Muchos usuarios se han quejado de que se ha transformado en spamware y de que la experiencia de uso ha empeorado notablemente.
La app de Galería de Alcatel se transforma en spamware
Como muchas otras compañías en la actualidad, Alcatel se vale de la Play Store para actualizar y mantener sus aplicaciones y facilitar así las nuevas versiones de sus apps. Además, también ofrece de serie sus propios servicios equivalentes a las apps que puedan venir de serie de Google. Hasta ahí es el comportamiento normal que la mayoría de fabricantes Android siguen, en busca de no complicarse con actualizaciones completas del sistema para actualizar solo una app.
Sin embargo, estas prácticas dejan a los usuarios a merced de los cambios silenciosos que quiera aplicar la compañía o terceros con acceso al paquete original, por lo que puede ser una puerta de entrada abierta que muchos consumidores ni se dan cuenta de que existe. Y eso es lo que ha pasado cuando la aplicación de Galería de Alcatel, que se llamaba simplemente Gallery o Galería y estaba firmada por mie-alcatel.support, se ha visto sustituida por Candy Gallery -Photo Edit,Video Editor,Pic Collage sin cambiar el nombre del paquete (com.tct.gallery3d).
Esta aplicación está desarrollada por Hi Art Studio, que cuenta con tan solo otra app en la Play Store, la conocida Candy Selfie Camera. El quid de la cuestión es que Candy Gallery pide todos los permisos posibles al usuario, incluyendo acceso a la identidad, a los SMS, al teléfono, a la información del Wi-Fi y a otros datos sensibles. Nada que suene bien y todo muy sospechoso para una simple app de galería.
Como han señalado distintos medios, la galería original de Alcatel requería únicamente los permisos habituales: almacenamiento, cámara y ubicación, todos ellos opcionales y explicados en el momento de solicitarlos. En cambio, la nueva Candy Gallery declara permisos adicionales como SMS y teléfono, que resultan completamente desproporcionados para la función principal de ver fotos. Aunque en muchas versiones recientes de Android estos permisos no se llegan a solicitar de forma activa, su mera presencia en el manifiesto de la app es una muy mala práctica.
Como os hemos explicado en anteriores ocasiones, es importante vigilar los permisos para evitar que te espíen. En dispositivos con versiones antiguas de Android, donde los permisos se aceptan todos en bloque durante la instalación, el riesgo es todavía mayor, ya que el usuario puede conceder sin querer un control casi total sobre el teléfono a una app cuyo propósito debería ser únicamente mostrar imágenes.
Diferencias entre la Galería original de Alcatel y Candy Gallery
Para entender mejor la problemática de seguridad, conviene comparar de forma detallada la galería original de Alcatel con la nueva Candy Gallery. La antigua aplicación, publicada con el desarrollador mie-alcatel.support, ofrecía una experiencia bastante estándar: organización básica por carpetas, acceso rápido a las fotos, una interfaz sencilla y opciones de edición limitadas pero suficientes para el uso diario.
En cuanto a permisos, la galería clásica pedía únicamente acceso al almacenamiento para leer y guardar fotos, a la cámara para hacer capturas desde la propia app y, de forma opcional, a la ubicación para etiquetar las imágenes. Todo esto encaja con lo que se espera de una app de este tipo y se consideraba razonable y transparente para el usuario medio.
Candy Gallery, por su parte, se presenta como un editor de fotos y vídeo con funciones de collage que también actúa como galería predeterminada. Una vez abierta, muestra un asistente similar al de la galería original, pero pronto se aprecia un cambio importante: empiezan a aparecer anuncios en la interfaz. Además, la aplicación incluye permisos declarados para SMS y teléfono, que no se corresponden con la actividad normal de una galería de fotos.
A nivel de rendimiento, varios usuarios han descrito Candy Gallery como una app que funciona lenta, que tarda más en cargar las imágenes y que hace que tareas simples, como ver una foto o desplazarse por el carrete, lleven más tiempo que con la versión anterior. A cambio, ofrece algunas funciones extra de edición, pero la compensación no resulta favorable para la mayoría, sobre todo si se suma la publicidad intrusiva.
Otro factor muy criticado es que Candy Gallery insiste repetidamente en que el usuario descargue Candy Selfie Camera, la otra app del mismo desarrollador. Los banners y avisos dentro de la galería redirigen constantemente a esta aplicación, convirtiendo una herramienta básica del sistema en un canal de promoción permanente. Esto encaja más con un comportamiento de spamware que con el de una app de sistema pensada para mejorar la experiencia del usuario.
¿Es Candy Gallery realmente maliciosa?
¿Significa todo esto que Candy Gallery es malware como tal? Técnicamente, no se puede afirmar con total certeza que se trate de una aplicación claramente maliciosa. Es cierto que declara los permisos para Teléfono y SMS, pero en muchas pruebas no llega a solicitarlos durante su uso, por lo que no se otorgan a no ser que el usuario los active manualmente en la configuración o utilice una versión de Android antigua donde se aceptan todos de golpe.
Podría darse el caso de que el desarrollador se haya limitado a copiar un manifiesto genérico y se haya olvidado de limpiar los permisos sobrantes, lo cual sigue siendo una práctica muy peligrosa para una app que se va a instalar en miles de dispositivos como parte del sistema. Aunque esto no pruebe por sí solo una intención maliciosa, sí supone un riesgo potencial si en futuras versiones se empiezan a aprovechar esos permisos ya declarados.
La publicidad integrada, especialmente aquella que redirige de forma insistente a Candy Selfie Camera, es molesta y de mal gusto, pero no es algo que no se haya visto antes en otras apps gratuitas. El problema se agrava aquí porque hablamos de una aplicación que llega al usuario como actualización de la galería oficial, sin que este haya buscado ni instalado voluntariamente un editor con anuncios.
A todo esto se suma un contexto preocupante: en redes sociales se han detectado mensajes repetitivos de cuentas que afirman “amar Candy Selfie Camera” con textos prácticamente idénticos, lo que apunta a posibles campañas de spam automatizado para inflar artificialmente la popularidad de la app. Este tipo de comportamiento refuerza la desconfianza hacia el desarrollador y hacia cualquier otro producto vinculado, como Candy Gallery.
Aunque no se pueda demostrar que Candy Gallery actúe como spyware clásico, sí se puede afirmar que es una aplicación poco fiable, mal diseñada en términos de privacidad y con un componente de spam muy evidente. Para una herramienta tan básica y crítica como la galería de fotos del sistema, esto es motivo más que suficiente para plantearse no utilizarla.
¿Por qué ha ocurrido este cambio en la app de Galería de Alcatel?
¿A qué se debe este cambio en la app de Galería de Alcatel? Es poco probable que Alcatel haya participado directamente en crear esta app con el objetivo explícito de robar información a sus usuarios, pero sí es posible, tal y como indican desde Android Police y otros medios especializados, que se haya producido algún tipo de acuerdo o cesión con el desarrollador externo.
Una de las hipótesis más extendidas es que Alcatel pudiera haber vendido la aplicación y la clave de publicación en Google Play a Hi Art Studio. Esto significaría que la misma ficha en la Play Store se “transforma” con una nueva app manteniendo el mismo nombre de paquete, y sigue ligada a versiones previas que venían preinstaladas en los teléfonos de la marca. De este modo, la actualización llega a los usuarios como si fuera una simple mejora de la galería, cuando en realidad se trata de un producto distinto.
La segunda opción es que solo se haya vendido la aplicación, pero que el proceso de aprobación y publicación de nuevas versiones siga pasando por Alcatel como propietario original del paquete. En este escenario, la responsabilidad recaería en la falta de control y revisión por parte del fabricante antes de lanzar una actualización a todos sus usuarios.
La tercera posibilidad, más grave, es que Hi Art Studio haya usurpado o robado la identidad de la app de galería original, aprovechando la clave o algún fallo en la cadena de distribución. Todo esto se deduce porque la clave de la ficha de la Play Store es básicamente la misma que la que usaba la app de Galería antigua, y Google no admite duplicados con el mismo identificador de paquete.
Sea cual sea el origen, el resultado práctico es que los usuarios se encuentran desprotegidos ante un cambio profundo en una app de sistema que muchos consideran de confianza. No han dado su consentimiento informado para sustituir una galería sencilla y limpia por un editor cargado de permisos sospechosos y anuncios. Y esto abre un debate más amplio sobre cómo los fabricantes gestionan las actualizaciones de apps preinstaladas y qué controles implementa Google a la hora de validar dichas actualizaciones en la Play Store.
Sea como sea, los usuarios se encuentran ahora mismo desprotegidos. Recomendamos a todos los usuarios de móviles Alcatel que, si tienen instalada esta aplicación, denieguen todos los permisos que no sean imprescindibles y la desinstalen o deshabiliten, siempre que el sistema lo permita. Si por el contrario aún utilizan la antigua versión, asegúrense de no actualizar desde la Play Store. Y, sobre todo, empezar a buscar nuevas opciones fiables para ver imágenes en el móvil, como Google Fotos u otras galerías de confianza bien valoradas por la comunidad.
Todo este caso de la galería de Alcatel ilustra hasta qué punto una simple actualización puede convertirse en un problema de seguridad y privacidad cuando se mezclan permisos excesivos, publicidad invasiva y desarrolladores poco transparentes. Mantener un control riguroso sobre las apps de sistema, revisar regularmente los permisos concedidos y desconfiar de cambios bruscos en aplicaciones básicas es clave para reducir riesgos en cualquier dispositivo Android.